Показано с 1 по 2 из 2.

Новая уязвимость в сервисах Google: кража писем из Gmail

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3709

    Новая уязвимость в сервисах Google: кража писем из Gmail

    В дополнение к трем уязвимостям в продуктах и сервисах Google – Groups, поисковой машине и Picasa, обнаруженным на этой неделе, в среду, 26 сентября, в системе сервисов портала найдена еще одна. Уязвимость позволяет похитить письма из ящика Gmail. Уязвимость обнаружил исследователь GNU Citizen Петко Петков (Petko D. Petkov), сообщает The Register. Она, как и три вышеупомянутые, относится к классу межсайтового скриптинга (CSS/XSS). При переходе по URL, содержащему JavaScript-код в значении одного из параметров вызова веб-страницы, этот код выполняется на самой странице от имени сайта, к которому обратился пользователь. Подобные уязвимости вызваны отсутствием проверки содержимого параметров перед тем, как вывести его на веб-страницу. Надежно написанные веб-приложения отсеивают HTML-тэги, включая JavaScript. Обычно при помощи CSS/XSS крадут куки с данными об авторизации или подгружают файлы, которые пользователь запустит, доверяя уязвимому сайту. В случае с Gmail злоумышленник может при помощи кода добавить в учетную запись фильтр, копирующий письма по указанному адресу. Для того чтобы уязвимость можно было использовать, в браузере жертвы должен быть открыт почтовый ящик Gmail.
    Источник

    uinc.ru
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640

    В Gmail найдена серьезная уязвимость

    28 сентября, 2007
    Петко Петков (Petko Petkov), участник хакерской организации GNU Citizen, рассказал миру о серьезной уязвимости в Gmail. Он даже опубликовал в блоге скриншоты того, как именно происходит взлом. Оказывается, на сайт можно внедрить специальный код - и все его посетители, авторизованные в Gmail, окажутся в опасности.

    Подобный тип взлома называется "межсайтовая подмена запроса" (cross-site request forgery, CSRF). Сайт злоумышленников посылает на Gmail команду multipart/form-date POST (как назывет ее Петков) и с ее помощью настраивается копирование всех писем с атакованного почтового ящика на адрес хакеров. Причем, копируются как вновь приходящие письма, так и старые (если они хранятся в веб-ящике Gmail). Даже когда Google устранит уязвимость, фильтр будет пересылать сообщения до тех пор, пока остается в списке.

    Петко Петков не рассказывает в подробностях о механизме работы "бага" Gmail и призывает всех остальных тоже не делать этого, чтобы компания Google успела устранить уязвимость. Сотрудники Google уже начали проверять факты, изложенные хакером.

    Сотрудник российской компании "Яндекс" в частной беседе высказал уверенность в том, что приведенной Петковым информации вполне достаточно для воспроизведения атаки. "Это тривиальный CSRF. К сожалению, от него очень мало кто защищается", - говорит сотрудник "Яндекса".

    На данный момент ходят слухи о том, что Google работает над новой версией Gmail. Причем, источник новости в данном случае оказался не совсем обычным. Google прибегает к помощи пользователей при переводе тех или иных элементов интерфейса своих программ, и среди других кусочков текста туда просочилось сообщение о том, что новая версия Gmail тестируется и в скором времени должна выйти в свет.

    Уязвимости, подобные той, что обнаружил Петко Петков в Gmail, замечены и в других продуктах Google. Самой серьезной была "дыра" в Google Groups, позволяющая получить доступ к контактам и сообщениям Gmail. Вторая уязвимость была обнаружена в средствах поиска Google для вебмастеров, там можно было красть cookies пользователей. Третий "баг" был предназначен для доступа к чужим фотографиям через Google Picasa.

    Все три уязвимости использовали т.н. "межсайтовый скриптинг" (cross site scripting, XSS), а для взлома Google Picasa была задействована также технология CSRF и некоторые ошибки в работе Flash и обработки URI. Уязвимость Google Groups уже закрыта, по остальным пунктам Google работает и, в том числе, готовит рекомендации для пользователей. В частности, там говорится о том, как опасно устанавливать в Picasa дополнительные кнопки неизвестного происхождения.


    securitylab.ru

Похожие темы

  1. Уязвимость в Gmail
    От HATTIFNATTOR в разделе Новости интернет-пространства
    Ответов: 2
    Последнее сообщение: 20.11.2005, 00:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00883 seconds with 16 queries